Tìm hiểu về DoS Defense trên DrayTek Vigor
Nhằm giúp hệ thống giảm bớt nguy cơ bị quá tải vì bị tấn công. DrayTek router cung cấp cho chúng ta 1 bộ công cụ. Bộ công cụ này không giúp chúng ta chống DoS hoàn toàn, nhưng nó sẽ góp phần giúp hệ thống chạy ổn định hơn nếu như chúng ta hiểu và sử dụng hợp lý.
Bộ công cụ này nằm trọn trong phần Firewall => DoS Defense
Dễ thấy phần DoS defense Setup chia ra làm 2 khu vực. Khu vực bên trên có tên giao thức và tham số Threshold và Timeout. Khu vực bên dưới chỉ có các nút chọn và tên các kiểu tấn công. Và mặc định thì tính năng DoS defense được tắt.
Quy tắc rất đơn giản, chọn để bật tính năng chống. Khi bạn chọn vào 1 tùy chọn chống tấn công, Router sẽ thể hiện 1 lời mô tả ngay bên dưới. Router đã được nạp sẳn các signatures để nhận diện từng kiểu tấn công. Nếu bạn muốn Router chặn những giao thức mà nó không biết thì bạn click chọn Block UnknownProtocol.
Với nhóm các kiểu tấn công SYN flood, UDP flood, ICMP flood và Port Scan Detection thì ngoài việc chọn enable để kích hoạt, chúng ta còn có thêm 2 tham số Threshold và Timeout cho mỗi kiểu.
Trên thực tế, các tiến trình SYN, UDP, ICMP, Port scan là những hành động bình thường trong quá trình thiết lập kết nối tới Internet. Và chúng hợp lệ nên dựa vào đặc điểm này, các hacker dùng các phần mềm tạo nhiều phiên kết nối ảo tới router làm nó tốn nhiều tài nguyên để xử lý dẫn đến cạn kiệt tài nguyên và treo.
– SYN: là bước đầu tiên trong quá trình bắt tay 3 bước của giao thức TCP, rất nhiều ứng dụng sử dụng TCP để giao tiếp với internet như : mail, chat, duyệt web. Khi máy tính muốn thiết lập 1 kết nối TCP ra ngoài thì nó sẽ gửi 1 gói SYN tới server, Server sẽ gửi lại 1 gói SYN ACK đồng thời dành riêng tài nguyên cho kết nối này, sau khi nhận được gói này, máy tính sẽ gửi tiếp 1 gói ACK. Lúc này kết nối được thiết lập. Nhưng với hacker thì họ liên tục gửi gói SYN mà không quan tâm đến việc nhận gói SYN ACK và thiết lập kết nối. Vì vậy server sẽ dần dần bị hết tài nguyên. Khi kích hoạt tính năng Enable SYN Flood defense thì chúng ta phải khai báo cho router biết mỗi IP gửi từ bao nhiêu gói SYN mỗi giây (Packets/sec) trở lên thì coi là IP đó đang tấn công. Và khi bị coi là đang tấn công thì IP đó sẽ bị cấm truy cập bao nhiêu giây. Các tham số trên tùy thuộc vào hệ thống của bạn có server hay không? Và lưu lượng truy cập của các máy tính lớn đến đâu. SYN là cách tấn công khi dùng TCP, vậy còn UDP thì sao ?
– UDP: Dịch vụ phân giải tên miền DNS là protocol phổ biến nhất dùng UDP, ngoài ra thì còn có VoIP, Video streaming cũng dùng UDP để truyền. DNS là 1 dịch vụ không thể thiếu cho các ứng dụng truy cập internet, nó giúp cho việc phân giải tên miền thành địa chỉ IP. Và hầu hết các hệ thống firewall đều cho phép DNS chạy qua. Cũng giống như SYN, bạn cũng phải quy định bao nhiêu gói tin mỗi giây được coi là hợp lệ.
– ICMP: Ping cũng là 1 phương pháp tấn công, hacker thường ping gói lớn với cường độ liên tục khiến router phải tốn thời gian trả lời
– Port Scan Detection: Phát hiện việc scan port.
Vậy nhiệm vụ của chúng ta là làm sao xác định được bao nhiêu Packets mỗi dây thì được coi là đang tấn công, và dưới ngưỡng đó thì được coi là truy cập bình thường? đây chính là tham số Threshold. Và tham số Timeout sẽ cho router biết khi bị coi là tấn công thì sẽ khóa truy cập của IP đó bao lâu ? Dựa vào kinh nghiệm và tình hình thực tế của mỗi hệ thống thì người quản trị sẽ điều chỉnh các tham số này cho phù hợp.
***Hãy cẩn thận vì nếu bạn khai báo không phù hợp thì việc ngăn chặn tấn công sẽ ít phát huy hiệu quả, ngược lại có thể làm hệ thống chập chờn, không ổn định vì router không cho phép các máy tính dùng đủ lưu lượng mà họ cần. Giả sử hệ thống của bạn cần truy cập internet với lưu lượng lớn, nhưng bạn chỉ cho phép gửi 150 UDP packets/sec, vào những lúc cao điểm thì router sẽ coi những máy truy cập từ 150 UDP packets mỗi giây là hacker, và router sẽ khóa truy cập máy đó 1 thời gian ( tùy vào giá trị timeout). Hầu hết các trường hợp mạng chậm sau khi bật DoS Defense đều do khai báo các tham số liên quan đến Enable SYN flood và Enable UDP flood
Nếu bạn không phải là một chuyên gia về mạng, bạn có thể tự tin cấu hình như hình sau:
Nguồn: Draytek